디지털 포렌식 맛보기#1

뉴스에서 디지털 포렌식이라는 용어를 한 번 쯤은 접해보신 적이 있으실 겁니다.

박원순 전 시장 휴대폰 포렌식, 의대생 한강 사건 휴대폰 포렌식, 연예인 정준영 황금폰 포렌식, 최순실 태블릿 pc 포렌식 등 굵직한 사건들마다 이 디지털 포렌식이라는 것이 따라오는 사례가 많이 있습니다.

이번 포스팅에서는 디지털 포렌식이 어떤 것인지 간략하게 살펴보도록 하겠습니다.

---

어느날 아침 주택가 인근 좁은 도로에서 살해된 여성의 시체가 발견되었습니다. 유력한 용의자를 잡았지만 CCTV 기록도, 목격자도 없어 범행시간 파악조차 어려운 상황입니다. 이 사건에서 범인을 검거할 수 있었던 결정적인 단서는 여성이 소지하고 있던 이것 입니다.

이것은 무엇일까요? 다음 포스팅에 다시 살펴보겠습니다.

---

 

디지털 포렌식 용어의 유래

 

포렌식 용어 의미

먼저 포렌식이라는 단어는 법의학적인, 재판에 관한, 법정의 라는 의미를 가지고 있습니다.

근래에는 범죄수사 및 민·형사 소송등 법정에 사용되는 증거의 수집/보존/분석을 위한 응용 과학 분야를 통칭하는 용어로 사용이 되고 있습니다.

 

디지털 포렌식은 영어 Digital과 Forensic의 합성어입니다.

간단한 의미로는 디지털 환경과 장비로부터 디지털 증거 자료를 수집·분석하여 법정에 제출하기까지의 과정을 뜻합니다.

또 다른 의미에는 컴퓨터 관련 조사·수사를 지원하며 디지털 데이터가 법적 효력을 갖도록 하는 과학적·논리적 절차와 방법을 연구하는 학문이라는 뜻도 있습니다.

 

---

 

디지털 포렌식의 5원칙

 

디지털 포렌식 과정 중 획득한 증거가 법정에서 효력을 발휘하기 위해서는 다음의 5가지 원칙을 준수해야 합니다.

 

1. 정당성의 원칙

정당성의 원칙은 모든 증거자료들은 적절한 절차를 거쳐서 획득한 것이어야 하며, 범인을 검거하고 싶은 마음에 서버를 해킹하여 얻은 자료와 같이 위법을 통해 얻은 증거는 효력이 없다는 원칙입니다.

여기서 적절한 절차를 거쳐서 획득하는 것을 적법절차 준수, 위법을 통해 얻은 증거는 효력이 없다는 것이 위법 수집 증거 배제 원칙이라고 말합니다.

 

2. 재현의 원칙

재현의 원칙은 증거는 손상되거나 삭제된 파일을 복구하는 것과 같은 과정을 거칠 수 있기 때문에, 법정에 증거를 제출하기 위해서는 같은 환경에서 절차를 거쳐 같은 결과가 도출되도록 재현할 수 있어야 한다는 원칙입니다.

 

3. 신속성의 원칙

신속성의 원칙은 컴퓨터에는 휘발성을 띄는 데이터들이 존재하기 때문에 신속하게 처리가 되어야 한다는 원칙입니다. 이 휘발성 데이터의 예시에는 네트워크 정보, 메모리 정보, 레지스터 정보 등이 존재하며 이러한 데이터는 전원이 꺼지거나 시간이 지체되면 사라질 수 있는 데이터이기 때문에 우선적으로 수집을 하게 됩니다.

 

4. 연계 보관성의 원칙

연계 보관성의 원칙은 획득된 증거는 이송/분석/보관/법정 제출이라는 일련의 과정이 명확해야 하며, 이러한 절차에 대해 추적이 가능해야 한다는 원칙입니다. 연계 보관성은 각 과정을 명확하게 함으로써 증거의 변조가 없다는 것을 증명하는데 큰 영향을 주게 됩니다.

하지만 일반적으로 유체물(범죄에 사용된 칼 등) 증거와 달리, 디지털 증거의 처리에 있어서 연계 보관성이 증거의 무결성과 크게 연관이 없는 이유가 있습니다.

디지털 증거는 법정에서 종종 디지털 증거가 조작되었거나 증거 생성 이후에 변경되었음을 이유로 디지털 증거의 진정성에 흠결을 주장을 할 수 있는데, 이 때 디지털 포렌식 조사자는 디짙러 증거에 어떠한 조작이나 흠결이 존재하지 않는다는 것을 명확히 입증할 수 있어야 하며 이를 입증하기 위해 디지털 증거는 수집 이후에 원본이 변경, 훼손되지 않았다는 사실을 무결성을 보장한다고 말합니다.

디지털 증거의 무결성은 무엇으로 보장할까요? 대표적인 것이 해시 값입니다. 디지털 증거는 해시 값이라는 데이터로 증거가 변조되지 않았음을 명백하게 보장을 할 수 있기 때문에 연계 보관성이 디지털 증거와는 크게 연관이 없는 것입니다.

 

5. 무결성의 원칙

무결성의 원칙은 증거 수집 단계에서 수집된 증거는 이후 과정에서 위조 및 변조가 되어서는 안 된다는 원칙을 말합니다. 디지털 증거는 해시 값을 통해 무결성을 보장하게 됩니다.

 

---

디지털 포렌식의 수행 절차

 

디지털 포렌식 수행 절차

 

디지털 포렌식의 수행 절차는 크게 5가지 단계로 구분지을 수 있으며 각 과정에 대해서 간단하게 살펴보겠습니다.

수사 준비 단계에서는 필요한 장비와 도구를 확보하게되고 영장을 발부받는 등 적법한 절차를 거쳐 준비합니다.

증거 수집 단게에서는 휘발성 증거를 우선 수집하며 현장 및 증거물 사진을 촬영하고, 증거물에 대해서는 증거 라벨을 부착합니다. 또한 압수물 목록을 교부하는 과정도 포함이 되어 있습니다.

보관 및 이송 단계에서는 연계 보관성을 충족하며 증거 분석실로 증거를 이송하게 됩니다.

분석 및 조사 단계는 증거 사본에 대한 분석을 진행하는 단계입니다.

보고서 작성 단계에서는 분석한 자료와 데이터를 토대로 보고서를 작성하고 법정에 제출하는 과정을 거치게 됩니다.

 

---

 

디지털 포렌식의 증거 수집

 

1. 네트워크의 증거 수집

네트워크는 기본적으로 데이터를 저장하지 않기 때문에 증거를 수집하기가 어려운 편입니다.

• 보안 솔루션 이용 : 침입 탐지 시스템, 침입 차단 시스템, 방화벽 MRTG 등에 남아있는 로그를 확보
• 네트워크 로그 서버 이용 : 네트워크 로그 서버가 설치되어 있으면 해당 로그를 증거로 확보
• 스니퍼 운용 : 스니퍼를 활용하여 백도어, 웜/바이러스 탐지 및 증거 수집

 

2. 시스템에서의 증거 수집

법원에 제출되는 정보의 대부분이 시스템에서 획득한 증거라고 합니다.

• 활성 데이터 수집 : 네트워크 세션 데이터, 메모리 정보 등 쉽게 사라지는 정보를 수집
• 시스템 로그 분석 : 시스템에 동작되도록 설정된 로그를 분석하여 침해 사고 관련 증거 확보
• 저장 장치 분석 : 이미지 장치를 통해 하드디스크 사본을 획득하여 삭제, 저장된 정보 분석 및 확보

 

3. 데이터 및 응용프로그램에서의 증거 수집

인터넷 정보 혹은 프로그램이 남긴 기록을 의미합니다.

• 이메일 분석 : PC에 전송된 메일이 저장되는 형태의 메일을 사용했을 경우에 해당 아티팩트 분석 ex) Outlook
• 인터넷 분석 : 인터넷 브라우저의 쿠키나 index.dat 파일 등을 이용하여 분석
• CAATs : DB에 있는 대량의 숫자 정보의 무결성 및 정확성을 확인할 때 사용되는 분석 방법

 

---

 

디지털 포렌식을 수행하는 기관

 

1. 수사 기관

보통 수사기관에서는 기술을 바탕으로 수사를 전문적으로 하는 수사관과 기술 연구를 중심적으로 하는 연구원으로 나뉩니다. 국내 수사기관에는 경찰청, 검찰청, 국방부, 국정원 등이 있습니다.

• 경찰 : 가장 많은 수사기관을 보유하고 있는 기관, 사이버수사 요원은 보통 사이버테러대응센터의 소속으로 근무
• 검찰 : 디지털 포렌식 전담기구에 해당, 업무에 따라 디스크 분석, DB 분석, 모바일 분석, 통화/계좌 분석 등 다양한 분야가 존재
• 국방부 : 안보사, 국방부조사본부, 육군수사단 등에서 수사 업무를 다루고 있으며 사이버사령부에서 사이버위협에 대한 대응을 담당
• 국정원 : 국가 사이버 안전의 정책을 총괄하는 곳, 사이버 공격에 대한 탐지 및 사고조사 업무를 주로 담당

 

2. 법률, 회계

법무법인에서는 디지털 증거 분석 업무를 주로 하며 IT 사건을 담당한 변호사를 보조하는 업무를 수행하게 됩니다.

회계법인에서는 디지털화 되어 있는 자료의 확보와 처리, 포렌식 컨설팅 등의 업무를 주로 다룹니다.

• 법무법인 : 김앤장, 민후, 평강, HM Company, 테크앤로우
• 회계법인 : 삼일 PwC, 삼정 KPMG, 안진 딜로이트, 언스트앤영 한영

 

3. 디지털 포렌식 서비스

디지털 포렌식 장비가 대부분 상당한 고액인 만큼 국내는 아직 규모가 크지 않다고 합니다.

데이터 복구, 모바일데이터 분석, 영상 및 음성처리와 같은 특화된 기술을 서비스하는 기업이 존재합니다.

• 디지털 포렌식 솔루션 : 제트코, 벨정보, 더존, 쿠퍼스시스템, 지엠디시스템, 파이널데이터, 인섹시큐리티 등
• 데이터 복구 : 데이터 닥터, 명정보기술 등
• 증거 분석 : 지엠디시스템, 레드아이포렌식, KDL컴퓨터포렌식, 더존 등
• 이디스커버리 서비스 : UBIC, KollabsLegal 등
• 이디스커버리 솔루션 : 인정보, 시만텍, 다우기술, 닉스테크, EMC, UBIC, ARTEC 등

* 이디스커버리 : Electronic Discovery의 약자로 정식재판이 진행되기 전에 법원의 개입 없이 소송 당사자가 사건과 관련한 이메일 및 각종 데이터 파일 등 전자적 정보를 상호 요청에 의해 공개하는 제도(전자증거개시제도 라고도 부름)

 

4. 디지털 포렌식 연구소

국가 연구소에서 체계적으로 관련 정책과 기술들을 연구하며 일정 이상의 학위가 요구됩니다.

• 연구소 : 국가보안기술연구소, 한국전자통신연구원(ETRI) 등

 

5. 디지털 포렌식 학회/협회

주로 논문지 발간, 학술대회/워크샵 개최 등의 활동을 하고 있으며 디지털 포렌식 자격 인증 업무도 다루고 있습니다.

• 학회/협회 : (사)포렌식학회, 사이버포렌식전문가협회, 한국디지털포렌식협회